분석 정보/악성코드 분석 정보

[긴급]국내 웹 사이트를 통해서 IE 0-Day (CVE-2012-4969) 공격 진행 중

TACHYON & ISARC 2012. 9. 19. 16:17
1. 개요


잉카인터넷 대응팀은 2012년 09월 18일 공식블로그를 통해서 보고한 IE 0-Day 취약점 공격국내 웹 사이트를 악용해서 추가로 공격이 진행되는 것을 발견하였다. 현재 변형된 공격이 꾸준히 발견되고 있고, 아직 공식적인 보안 업데이트(패치)가 일반에 배포되고 있지 않은 상태이므로, 인터넷 이용자들의 각별한 주의가 필요한 상황이다. 따라서 사용자들은 보안패치가 출시되기 전까지 당분간 만이라도 인터넷 익스플로러(IE)가 아닌 별도의 웹 브라우저를 임시로 사용하는 것도 하나의 방법이다. 현재 악성파일이 발견된 국내 사이트는 K대학교 부동산 대학원으로서 악성파일 중개지 역할로 악용되고 있다.



마이크로 소프트사에서는 해당 취약점에 대한 보안권고문을 정식으로 게시한 상태이고, 인터넷 익스플로러 6~9 버전의 원격 코드 실행 문제점을 조사하고 있다고 밝힌 상태이다. 잉카인터넷 대응팀은 변종 악성파일들에 대한 탐지 및 치료 기능을 nProtect 제품군에 긴급 업데이트 하는 한편 보안 모니터링을 한층 강화하고 있다.

[Internet Explorer의 취약점으로 인한 원격 코드 실행 문제점]
http://technet.microsoft.com/ko-kr/security/advisory/2757760
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4969

2. 악성파일 정보

[주의]새로운 Internet Explorer Zero-Day 취약점 발견
http://erteam.nprotect.com/334

아직 보안패치가 공식적으로 출시되지 않은 이른바 Zero-Day 공격(2012년 09월 19일 현재)형태로 진행 중이며, 국내외 웹 사이트 등에서 악용이 증가하고 있다. 2012년 09월 19일에는 국내 사이트를 경유지로 악용되는 경우가 2건(이상) 발견되고 있어, 시간이 지남에 따라 많은 사이트가 악용될 가능성이 높을 것으로 예상된다.

이번에 발견된 "index.html" 파일은 처음 보고된 형태와 거의 동일한 코드가 사용되었고, 플래시 악성파일명도 "Moh2010.swf" 이름으로 동일하다. 

index.html
https://www.virustotal.com/file/9d66323794d493a1deaab66e36d36a820d814ee4dd50d64cddf039c2a06463a5/analysis/

Moh2010.swf
https://www.virustotal.com/file/151ce6cb46a03c6f3e0196fd7e0047ee3d41c0dc76367e50f5dce039c0172a2d/analysis/

Miralbus.html
https://www.virustotal.com/file/e89f30448878088b5c0f4585f0e91634dbe81257056016df5606d8d622433de8/analysis/


"Moh2010.swf" 플래시 파일은 내부 액션스크립트를 통해서 "Miralbus.html" 파일 실행을 하도록 구성되어 있다.


"Miralbus.html" 파일은 IE 7.0과 8.0 버전을 감염 대상으로 구성되어 있고, 다음과 같은 악성 스크립트 기능을 수행한다.


Exploit 코드가 실행되면 K대학교 대학원 사이트에 등록되어 있고 XOR 연산으로 부분 암호화(0x70)되어 있는 "pp.exe" 파일이 다운로드 감염이 시도된다.


"pp.exe" 악성파일이 정상적으로 실행되면 특정 조건에 따라서 가변적인 위치에 "wlupdate.exe" 파일을 생성하고 실행한다. 폴더 조건에 따라 생성되는 경로는 임의로 변경되기 때문에 악성파일이 존재하는 위치는 감염된 컴퓨터마다 각기 다를 수 있다.

또한, 동일한 경로에 "user.dll" 파일과 "LISFL.dll" 이름의 파일도 함께 생성한다.


"LISFL.dll" 파일에는 다음과 같은 특정 사이트 정보가 등록되며, 악성파일이 접속하는 명령 서버로 이용되며, 감염 컴퓨터의 물리적 MAC 주소가 전송 시도된다. 이것만으로도 이미 국내 사이트 2곳이 악성파일 제작자에게 관리자 권한이 탈취되어 악용되고 있다는 것을 확인할 수 있다.


악성파일은 공격자와 호스트 C&C 서버의 추가 명령 및 통신조건 등에 따라서 다양한 공격을 수행할 수 있으므로, 악성파일에 감염되지 않도록 세심한 주의가 필요하다.

3. 마무리

잉카인터넷 대응팀은 새로운 IE Zero-Day 취약점용 악성파일에 대한 보안 모니터링을 강화하는 한편 이용자들의 피해를 최소화하기 위해서 변종 보안위협에 대한 이상징후를 예의주시하고 있다. 또한, 금일 변종을 다수 발견되어 nProtect Anti-Virus 제품군에 지속적으로 추가를 진행하고 있는 상황이다.

새롭게 유포되는 악성파일 변종들은 nProtect Anti-Virus 제품군에 신속하게 탐지 및 치료 기능을 포함하여 배포되고 있으므로, 사용자들은 항시 최신 버전으로 업데이트하고 실시간 감시 등을 활성화하여 이런 유사 악성파일에 노출되는 상황을 미연에 예방할 수 있도록 하는 노력이 필요하다. 또한, 웹 사이트를 통해서 유포되는 경우 각종 보안취약점을 이용하고 있으므로, 운영체제 및 주요 응용프로그램의 보안업데이트 및 최신버전 사용을 생활화하는 보안습관이 중요하다.

위와 같은 악성파일은 일반 사용자가 악성 여부를 판별하기가 매우 어렵기 때문에 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : 
http://erteam.nprotect.com/334